百度360必应搜狗淘宝本站头条
python类型转换python串口编程python计时python异常python进度条
当前位置:网站首页 > 技术资源 > 正文

【Nginx进阶】Nginx安全配置

off999 2025-01-03 18:15 31 浏览 0 评论

在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。

在现代网络环境中,保障 Web 服务器的安全性至关重要。Nginx 作为一个高性能的 Web 服务器和反向代理服务器,通过合理的安全配置,可以有效地防止各种网络攻击,保护服务器和用户数据的安全。在本章中,我们将详细介绍 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。

1. SSL/TLS 安全

SSL/TLS 通过加密保护数据传输的机密性、完整性和真实性。合理的 SSL/TLS 配置可以防止攻击和数据篡改。

1.1 禁用不安全的协议和加密套件

禁用 SSLv3 和弱加密套件,强制使用安全的 TLS 协议和加密套件:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
    ssl_prefer_server_ciphers on;
}

1.2 启用 HSTS(HTTP Strict Transport Security

HTTP 严格传输安全 (HSTS) 可以强制客户端使用 HTTPS 连接,防止协议降级攻击:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;

    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
}

1.3 启用 OCSP Stapling(实时证书状态检查)

OCSP Stapling 可以减少 SSL 握手时间,提高性能:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_stapling on;
    ssl_stapling_verify on;
    ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
}

1.4 使用强密码

生成并配置 Diffie-Hellman 参数文件:

openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

在 Nginx 配置中使用:

server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/nginx.crt;
    ssl_certificate_key /etc/nginx/ssl/nginx.key;
    ssl_dhparam /etc/nginx/ssl/dhparam.pem;
}

2. 访问控制

通过访问控制,可以限制哪些客户端可以访问服务器,从而提高安全性。

2.1 基于 IP 地址的访问控制

使用 allow 和 deny 指令,限制 IP 地址的访问:

server {
    listen 80;
    server_name example.com;

    location / {
        allow 192.168.1.0/24;
        deny all;
    }
}

2.2 基于用户代理的访问控制

限制特定用户代理的访问,可以防止一些常见的恶意机器人:

server {
    listen 80;
    server_name example.com;

    location / {
        if ($http_user_agent ~* "BadBot") {
            return 403;
        }
    }
}

2.3 基于 HTTP 方法的访问控制

限制某些 HTTP 方法的使用,例如禁止 PUT 和 DELETE 方法:

server {
    listen 80;
    server_name example.com;

    location / {
        if ($request_method !~ ^(GET|POST|HEAD)$) {
            return 405;
        }
    }
}

3. HTTP 安全头

HTTP 安全头可以防止多种 Web 安全问题,例如跨站脚本攻击 (XSS)、跨站请求伪造 (CSRF)、点击劫持等。

3.1 配置常见的 HTTP 安全头

在 Nginx 配置文件中添加以下指令:

server {
    listen 80;
    server_name example.com;

    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options "SAMEORIGIN";
    add_header X-XSS-Protection "1; mode=block";
    add_header Referrer-Policy "no-referrer-when-downgrade";
    add_header Content-Security-Policy "default-src 'self'";
}

4. 防止 DDoS 攻击

分布式拒绝服务 (DDoS) 攻击可以通过大量请求耗尽服务器资源,从而导致服务不可用。Nginx 提供了一些配置来缓解 DDoS 攻击。

4.1 限制请求速率

使用 limit_req 模块限制每个客户端的请求速率:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        listen 80;
        server_name example.com;

        location / {
            limit_req zone=one burst=5 nodelay;
        }
    }
}

4.2 限制并发连接数

使用 limit_conn 模块限制每个客户端的并发连接数:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 80;
        server_name example.com;

        location / {
            limit_conn addr 10;
        }
    }
}

5. 日志审计

通过日志审计,可以记录和分析服务器的访问和操作,帮助检测和防止安全事件。

5.1 配置详细日志

配置详细的访问日志和错误日志:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;
}

5.2 使用外部日志分析工具

使用如 ELK(Elasticsearch、Logstash、Kibana)等工具分析和可视化日志:

# 安装 Elasticsearch

# 安装 Elasticsearch
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
sudo apt-get install apt-transport-https
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update
sudo apt install elasticsearch

# 安装 Logstash
sudo apt install logstash

# 安装 Kibana
sudo apt install kibana

6. 完整示例

下面是一个综合了多种安全配置的完整示例:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log warn;

    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 443 ssl;
        server_name example.com;

        ssl_certificate /etc/nginx/ssl/nginx.crt;
        ssl_certificate_key /etc/nginx/ssl/nginx.key;
        ssl_protocols TLSv1.2 TLSv1.3;
        ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
        ssl_prefer_server_ciphers on;
        ssl_stapling on;
        ssl_stapling_verify on;
        ssl_trusted_certificate /etc/nginx/ssl/chain.pem;
        ssl_dhparam /etc/nginx/ssl/dhparam.pem;

        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options "SAMEORIGIN";
        add_header X-XSS-Protection "1; mode=block";
        add_header Referrer-Policy "no-referrer-when-downgrade";
        add_header Content-Security-Policy "default-src 'self'";

        location / {
            limit_req zone=one burst=5 nodelay;
            limit_conn addr 10;
            allow 192.168.1.0/24;
            deny all;
            if ($request_method !~ ^(GET|POST|HEAD)$) {
                return 405;
            }
        }
    }
}

7. 总结

在本章中,我们详细介绍了 Nginx 的安全配置,包括 SSL/TLS 安全、访问控制、HTTP 安全头、防止 DDoS 攻击和日志审计。通过这些配置,你可以有效地提高 Nginx 服务器的安全性,防止各种网络攻击,保护服务器和用户数据的安全。

相关推荐

office 2010下载 免费完整版

1、先下载office2010完整安装包免费版。2、最开始安装的时候,需要借助一款微软专用清理工具:msiclear。下载软件后双击msicuu2.exe运行软件。3、运行msicuu2.exe后...

ide接口转sata接口线(ide接口转sata接口 bios设置)

ide接口转sata接口慢的很,IDE接口转SATA接口后的传输数据速率只能达到IDE接口的传输速度。ide接口:是电子集成驱动器,数据传输速度慢、线缆长度过短、连接设备少,速度100M/s。SATA...

网络不好怎么办(无线网网络不好怎么办)

调整发射功率首先,我们进入到无线路由器的管理后台,在无线设置中找到“发射功率”这一选项。由于国家规定无线路由器发射功率不得超过100mw,所以许多无线路由器在出厂时默认的发射功率为规定的50%或75%...

win7最低配置硬盘基本要求(windows7最低硬盘要求)

操作系统对于硬件平台要求并不高,不要别老旧的误传给误导了。无论是windows7还是windows10都是如此。windows7系统安装时要求的最低硬盘空间分别是16GB可用硬盘空间(3...

笔记本锐龙处理器性能排行(最新笔记本锐龙处理器)

锐龙和酷睿处理器各有优势,看使用场景。1、只考虑玩游戏对于游戏玩家来说intel酷睿处理器更好一些,不是说锐龙就不好,只是对于某些主流网游,尤其腾讯系列游戏,酷睿系列更适合,因为腾讯游戏只吃单线程频率...

电脑声音未安装音频设备怎么办

这种情况属于声卡安装不正确,只需要更新声卡驱动即可解决,步骤如下:所需材料:电脑、驱动人生。一、首先打开驱动人生软件,进入主界面后点击“立即体检”。二、扫描完成后,点击声卡右边的“小箭头”。三、弹出的...

createview教学一体机(createview教学一体机怎么开机)

一体机启动方法如下:1、首先打开电脑,点击“下一步”默认值不需要修改;2、点击“接受”;3、点击左下边的“跳过此步骤”;4、点击“使用快速设置”;5、在此只需要输入一个英文用户名,其他的都不需要填写...

win10关机代码bat(windows关机命令bat)

要编写一个定时关机的BAT文件,你可以按照以下步骤进行操作:1.打开文本编辑器(如记事本)。2.在新建的文本文件中,输入以下命令:```@echooffecho正在关闭计算机...shutdo...

wlan不可上网怎么回事(wlan显示不可上网怎么办回事)

无线网没有设置好,可以重新设置下。没有使用路由器时,电脑直接连接宽带上网,现在使用路由器共用宽带上网,则需要用路由器来直接连接宽带。根据入户宽带线路的不同,可以分为网线、电话线、光纤三种接入方式。连接...

笔记本玩lolfps低怎么办(笔记本玩lolfps多少算正常)
  • 笔记本玩lolfps低怎么办(笔记本玩lolfps多少算正常)
  • 笔记本玩lolfps低怎么办(笔记本玩lolfps多少算正常)
  • 笔记本玩lolfps低怎么办(笔记本玩lolfps多少算正常)
  • 笔记本玩lolfps低怎么办(笔记本玩lolfps多少算正常)
msdn原版镜像下载网站(msdn官网下载win10镜像怎么用)

下载虚拟光驱软件,推荐DAEMONToolsLite,免费的安装之后把光盘镜像(.iso)文件拖到DAEMONToolsLite上面,运行然后会进入镜像里,有个setup.exe,点它安装按照...

自带小游戏的壁纸(自带小游戏的壁纸软件)

要把游戏变成壁纸,首先需要找到喜欢的游戏截图或者壁纸素材。然后,将这些素材导入到手机或电脑中,通过设置或编辑软件进行调整和裁剪,以适应屏幕的尺寸和分辨率。接下来,将调整后的图片设置为桌面壁纸或手机壁纸...

笔记本电脑怎么连接家里的无线网

第一步,首先找到你家的WIFI名称,找到WIFI名称以后直接输入你家的WIFI密码,第二步直接连接上你家的WIFI密码就可以连接到你家的网络上了,连接好了以后就可以正常使用你就的网络了,在网上看电影,...

苹果手机ios在哪里打开(苹果手机如何打开ios)

1、开启苹果手机,进入主界面,选择“设置”菜单。2、进入“设置”菜单后,选择我们的“苹果帐号”点击进入。3、进入我们的苹果帐号菜单后,将页面滑动到最底部,选择当期操作的手机。4、点击“当期操作的手机”...

win10误删注册表如何恢复(win10误删注册表导致开始菜单打不开)

如果您的Windows10注册表遇到了问题,您可以尝试以下几种方法来恢复它:1.创建注册表备份:在恢复之前,最好先创建注册表的备份以防止意外情况。打开注册表编辑器,选择“文件”菜单,然后选择“导出...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
Copyright Your WebSite.Some Rights Reserved.